··

······

Auftragsverarbeiter

Die Unternehmen, denen wir Kundendaten anvertrauen.

Eine vollständige, öffentliche Liste aller Drittdienste, die personenbezogene Daten im Auftrag von Veracly verarbeiten — was sie tun, wo sie laufen und welche Daten sie berühren.

Zuletzt aktualisiert: 2026-04-29

Gemäß Artikel 28 DSGVO sind wir verpflichtet, Ihnen vorab mitzuteilen, welche Unterauftragsverarbeiter wir einsetzen, und Ihnen die faire Möglichkeit zu geben, Widerspruch einzulegen, bevor ein neuer Auftragsverarbeiter mit der Verarbeitung Ihrer Daten beginnt. Die untenstehende Tabelle ist die maßgebliche Liste. Wir aktualisieren sie, sobald wir einen Anbieter hinzufügen, ersetzen oder entfernen, und benachrichtigen alle Abonnenten der Änderungsliste mindestens 14 Tage vor dem Start eines neuen Anbieters.

Anbieter	Zweck	Datenkategorien	Infrastruktur-Region	Übermittlungsmechanismus	AVV
Anthropic, PBC	KI-Texterstellung für die verständlichen Erklärungen, Zusammenfassungen und übersetzten Handlungsempfehlungen in Ihren Compliance-Berichten.	Technische Verstoßdaten und ein kurzer HTML-Ausschnitt des betroffenen Elements. Es werden keine Kunden-, Kontakt- oder Organisationsdaten übermittelt.	United States (us-west-2)	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Amazon Web Services EMEA SARL (S3)	Objektspeicher für generierte PDF-Berichte, Scan-Artefakte und vom Kunden hochgeladene Nachweise.	Generierte PDF-Berichte, Scan-Ausgabe-JSON, hochgeladene Nachweisdateien und Verifizierungsartefakte.	eu-central-1 (Frankfurt) · us-east-1 (Virginia)	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Clerk, Inc.	Authentifizierung, Sitzungsverwaltung, MFA und Benutzerprofil-Oberfläche.	Name, E-Mail, Passwort-Hash, MFA-Faktoren, Login-IP, Geräte-Fingerprint.	United States (multi-region) · EU residency on request	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Resend, Inc.	Transaktions-E-Mail-Versand — Verifizierungs-, Scan-Abschluss-, Rechnungs- und Datenschutz-E-Mails.	Empfängername, E-Mail, Nachrichtentext und -kopfzeilen, Zustelltelemetrie (Bounces, Öffnungen).	United States · Frankfurt edge processing	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Stripe Payments Europe, Ltd.	Zahlungsabwicklung, Abonnementabrechnung, Rechnungsstellung und Steuerdokumente.	Rechnungsadresse, Name, E-Mail, USt-IdNr./ABN, Kartenendziffern, Zahlungsmethoden-Token, Transaktionshistorie.	Ireland (EU) · United States (cross-border for fraud detection)	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Supabase, Inc.	Primärdatenbank — Konten, Organisationen, Websites, Scans, Befunde und Audit-Log.	Alle Kunden-, Organisations-, Website-, Scan- und Befunddatensätze — verschlüsselt im Ruhezustand mit KMS.	eu-central-1 (Frankfurt) — primary · read replicas in us-east-1	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Upstash, Inc.	Redis-basierte Job-Queue (BullMQ) und Cache für Scan-Worker und Rate-Limits.	Job-Payloads (URL, Scan-Parameter), Rate-Limit-Zähler, Idempotenzschlüssel.	eu-west-1 (Frankfurt) — primary · multi-region replicas	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗
Vercel, Inc.	Hosting der Marketing-Website und des Dashboards, Edge-Runtime für die Next.js-Anwendung, Build-Logs und Deployment-Artefakte.	HTTP-Anfragelogs (Pfad, Status, Latenz), Build-Artefakte, Deployment-Metadaten.	Global edge network · build & log storage in US (iad1)	EU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.	AVV ansehen ↗

Anthropic, PBC

ZweckKI-Texterstellung für die verständlichen Erklärungen, Zusammenfassungen und übersetzten Handlungsempfehlungen in Ihren Compliance-Berichten.

DatenkategorienTechnische Verstoßdaten und ein kurzer HTML-Ausschnitt des betroffenen Elements. Es werden keine Kunden-, Kontakt- oder Organisationsdaten übermittelt.

Infrastruktur-RegionUnited States (us-west-2)

ÜbermittlungsmechanismusEU-Standardvertragsklauseln (Modul 2/3, 2021) sowie das EU-US Data Privacy Framework, sofern der Anbieter selbst zertifiziert ist. Zusätzliche Schutzmaßnahmen: Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256), Zugriffsprotokollierung und vertragliche Datenresidenz-Zusagen, soweit angeboten.

AVV ansehen ↗

Amazon Web Services EMEA SARL (S3)

ZweckObjektspeicher für generierte PDF-Berichte, Scan-Artefakte und vom Kunden hochgeladene Nachweise.

DatenkategorienGenerierte PDF-Berichte, Scan-Ausgabe-JSON, hochgeladene Nachweisdateien und Verifizierungsartefakte.

Infrastruktur-Regioneu-central-1 (Frankfurt) · us-east-1 (Virginia)

AVV ansehen ↗

Clerk, Inc.

ZweckAuthentifizierung, Sitzungsverwaltung, MFA und Benutzerprofil-Oberfläche.

DatenkategorienName, E-Mail, Passwort-Hash, MFA-Faktoren, Login-IP, Geräte-Fingerprint.

Infrastruktur-RegionUnited States (multi-region) · EU residency on request

AVV ansehen ↗

Resend, Inc.

ZweckTransaktions-E-Mail-Versand — Verifizierungs-, Scan-Abschluss-, Rechnungs- und Datenschutz-E-Mails.

DatenkategorienEmpfängername, E-Mail, Nachrichtentext und -kopfzeilen, Zustelltelemetrie (Bounces, Öffnungen).

Infrastruktur-RegionUnited States · Frankfurt edge processing

AVV ansehen ↗

Stripe Payments Europe, Ltd.

ZweckZahlungsabwicklung, Abonnementabrechnung, Rechnungsstellung und Steuerdokumente.

DatenkategorienRechnungsadresse, Name, E-Mail, USt-IdNr./ABN, Kartenendziffern, Zahlungsmethoden-Token, Transaktionshistorie.

Infrastruktur-RegionIreland (EU) · United States (cross-border for fraud detection)

AVV ansehen ↗

Supabase, Inc.

ZweckPrimärdatenbank — Konten, Organisationen, Websites, Scans, Befunde und Audit-Log.

DatenkategorienAlle Kunden-, Organisations-, Website-, Scan- und Befunddatensätze — verschlüsselt im Ruhezustand mit KMS.

Infrastruktur-Regioneu-central-1 (Frankfurt) — primary · read replicas in us-east-1

AVV ansehen ↗

Upstash, Inc.

ZweckRedis-basierte Job-Queue (BullMQ) und Cache für Scan-Worker und Rate-Limits.

DatenkategorienJob-Payloads (URL, Scan-Parameter), Rate-Limit-Zähler, Idempotenzschlüssel.

Infrastruktur-Regioneu-west-1 (Frankfurt) — primary · multi-region replicas

AVV ansehen ↗

Vercel, Inc.

ZweckHosting der Marketing-Website und des Dashboards, Edge-Runtime für die Next.js-Anwendung, Build-Logs und Deployment-Artefakte.

DatenkategorienHTTP-Anfragelogs (Pfad, Status, Latenz), Build-Artefakte, Deployment-Metadaten.

Infrastruktur-RegionGlobal edge network · build & log storage in US (iad1)

AVV ansehen ↗

So benachrichtigen wir Sie über Änderungen

Wenn wir einen neuen Unterauftragsverarbeiter hinzufügen möchten, werden wir: (1) diese Seite aktualisieren, (2) alle Abonnenten der Änderungsliste per E-Mail informieren und (3) mindestens 14 Kalendertage warten, bevor der neue Anbieter mit der Verarbeitung Ihrer Daten beginnt. Wenn Sie widersprechen, suchen wir nach einer Alternative; ist keine möglich, können Sie den betroffenen Dienst aus wichtigem Grund kündigen mit anteiliger Erstattung.

Bleiben Sie informiert

Erhalten Sie eine Benachrichtigung bei Änderungen.

Schreiben Sie an privacy@veracly.app und bitten Sie um Aufnahme in die Änderungsliste. Wir benachrichtigen Sie mindestens 14 Tage vor dem Start eines neuen Anbieters.

E-Mail an privacy@veracly.app AVV lesen →

Die Unternehmen, denen wir Kundendaten anvertrauen.

So benachrichtigen wir Sie über Änderungen

Erhalten Sie eine Benachrichtigung bei Änderungen.

Cookies auf veracly.app